![[Translate to DE:]](/fileadmin/images/_content-databases/icons/icons-navi-2024/use-cases/approval-workflow-automation.svg "[Translate to DE:]"){kind=icon}
![[Translate to DE:]](/fileadmin/images/_content-databases/icons/icons-navi-2024/use-cases/risk-simulation.svg "[Translate to DE:]"){kind=icon}
![[Translate to DE:]](/fileadmin/images/_landingpages/big-grc/en/compliance-icon.svg "[Translate to DE:]"){kind=icon}
![[Translate to DE:]](/fileadmin/images/_content-databases/icons/integrated-control-system-icon.svg "[Translate to DE:]"){kind=icon}
![[Translate to DE:]](/fileadmin/images/_content-databases/icons/award-badge-icon.svg "[Translate to DE:]"){kind=icon}
![[Translate to DE:]](/fileadmin/_processed_/d/5/csm_global-process-excellence-and-ai-readiness-report-2025_7ce831dba1.png "[Translate to DE:]")
![[Translate to DE:]](/fileadmin/_processed_/7/6/csm_horizon-power_10757ee17e.png "[Translate to DE:]")
![[Translate to DE:]](/fileadmin/_processed_/e/5/csm_pv-poster_a986705422.png "[Translate to DE:]")
![[Translate to DE:]](/fileadmin/images/_content-databases/icons/business-process-management-icon.svg "[Translate to DE:]"){kind=icon}
![[Translate to DE:]](/fileadmin/images/_content-databases/icons/integrated-management-system-icon.svg "[Translate to DE:]"){kind=icon}
![[Translate to DE:]](/fileadmin/images/_content-databases/icons/automation-icon.svg "[Translate to DE:]"){kind=icon}
![[Translate to DE:]](/fileadmin/images/_content-databases/icons/growth-icon.svg "[Translate to DE:]"){kind=icon}
![[Translate to DE:]](/fileadmin/images/_content-databases/icons/corporate-governance-icon.svg "[Translate to DE:]"){kind=icon}
![[Translate to DE:]](/fileadmin/_processed_/6/d/csm_arty-eam_b1d7d9af28.webp "[Translate to DE:]")
![[Translate to DE:]](/fileadmin/_processed_/4/4/csm_GRC_Gartner_2023_03107f575e.png "[Translate to DE:]")
![[Translate to DE:]](/fileadmin/_processed_/0/7/csm_bpm-trends-2026_97c835c7e4.webp "[Translate to DE:]")
![[Translate to DE:]](/fileadmin/images/small-navi-tiles/product-information/product-information-eam.webp "[Translate to DE:]")
Deepfake-Betrug im Unternehmen – wenn ein Videocall zum Millionenrisiko wird
10. Juni 2026 Wenn ein Videocall Millionen kostet
Im Jahr 2024 überwies ein Finanzmitarbeiter eines Unternehmens in Hongkong 25,6 Millionen USD an Betrüger. Vorausgegangen war ein Videocall mit dem vermeintlichen CFO und weiteren Entscheidungsträgern. Erst später stellte sich heraus, dass es sich bei sämtlichen Führungskräften um KI-generierte Deepfakes handelte. Der betroffene Mitarbeiter war die einzige reale Person im Meeting und hatte die Überweisung in gutem Glauben freigegeben. Nachdem die Polizei in Hongkong den Fall bestätigte, sorgte er weltweit für Aufsehen und machte deutlich, wie real die Bedrohung durch Deepfake-Betrug inzwischen geworden ist.
Dabei handelt es sich längst nicht mehr um einen Einzelfall. Laut dem Entrust Cybersecurity Institute stieg die Zahl der Deepfake-Betrugsversuche zwischen 2023 und 2024 um mehr als 3.000 Prozent. Die Folgen sind für Unternehmen erheblich: Regula und Sapio Research berichten, dass 92 Prozent der betroffenen Organisationen finanzielle Schäden erlitten. Der durchschnittliche Verlust liegt bei rund 450.000 USD pro Vorfall.
Die steigenden Fallzahlen zeigen, dass Deepfake-Betrug heute zum Risikoprofil vieler Unternehmen gehört. Umso wichtiger ist die Frage, wie sich das Risiko wirksam begrenzen lässt. Denn der Schaden entsteht selten durch die Täuschung allein, sondern vor allem dann, wenn geeignete Kontrollen und Verifikationsprozesse fehlen.
Was ist Deepfake-Betrug im Unternehmenskontext?
Deepfake-Betrug bezeichnet die gezielte Täuschung durch KI-generierte Stimmen, Bilder oder Videos, die reale Personen täuschend echt nachahmen. Ziel ist es, Mitarbeitende zu Handlungen zu bewegen, die sie unter normalen Umständen nicht ausführen würden.
Besonders gefährlich sind Deepfake-Videocall-Scams, bei denen sich Angreifer als Führungskräfte, Geschäftspartner oder Mitarbeitende ausgeben. Oft werden dabei bekannte Betrugsformen wie Business-E-Mail-Compromise mit Deepfake-Technologien kombiniert. Das Ergebnis sind hochgradig glaubwürdige Angriffe, die selbst erfahrene Mitarbeitende täuschen können.
Dies zeigt, dass Deepfake-Betrug weit mehr als eine Cybersecurity-Herausforderung ist. Die eigentlichen Schwachstellen liegen häufig in fehlenden Verifikationsprozessen, unzureichenden Kontrollen und mangelndem Risikobewusstsein – und damit genau in den Bereichen, die Governance, Risk und Compliance adressieren.
Warum Deepfake-Betrug kein reines IT-Problem ist
Als Reaktion auf solche Vorfälle neigen viele Unternehmen dazu, zunächst auf technische Lösungen zu setzen. Dazu gehören etwa Erkennungssoftwares oder zusätzliche Authentifizierungsverfahren. Diese Maßnahmen können das Risiko zwar reduzieren, greifen aber zu kurz, wenn die organisatorischen Rahmenbedingungen fehlen. Denn Deepfake-Angriffe nutzen menschliches Vertrauen und bestehende Prozessschwächen aus.
Im bekannten Fall aus Hongkong lag das Problem nicht allein darin, dass der Mitarbeiter den Deepfake nicht als solchen erkannt hatte. Entscheidend war vielmehr, dass es keine ausreichenden Kontrollmechanismen gab, um eine Transaktion dieser Größenordnung unabhängig vom Videocall zu verifizieren. Weder ein verpflichtender Rückruf noch ein konsequent angewandtes Vier-Augen-Prinzip oder ein mehrstufiger Freigabeprozess waren etabliert.
Genau hier entsteht das eigentliche Risiko: Deepfake-Angriffe werden besonders dann erfolgreich, wenn technische Täuschung auf fehlende oder unzureichend umgesetzte Governance-Strukturen trifft. Deshalb ist Deepfake-Fraud-Prevention weniger eine rein technologische Herausforderung als vielmehr eine Frage klar definierter und gelebter Kontrollprozesse.
Die unbequeme Wahrheit: Deepfake-Risiken fehlen oft im IKS
Obwohl die Zahl der Deepfake-Angriffe rasant steigt, haben viele Unternehmen Deepfake-Betrug noch nicht als eigenständiges Risiko erfasst.
In der Praxis zeigen sich dadurch folgende Defizite:
- Keine klaren Verantwortlichkeiten für Deepfake-Risiken
- Keine systematische Risikobewertung
- Keine Verknüpfung zwischen Risiko und Kontrollen
- Keine dokumentierten Schulungsmaßnahmen
- Kein Nachweis über die Wirksamkeit bestehender Schutzmaßnahmen
Diese Mängel sind nachvollziehbar. Deepfake-Betrug hat sich innerhalb kurzer Zeit zu einer ernstzunehmenden Bedrohung entwickelt, auf die viele Governance-Frameworks ursprünglich nicht ausgelegt waren. Entsprechend werden Deepfake-Risiken in vielen Unternehmen noch nicht systematisch erfasst, bestehenden Kontrollmaßnahmen zugeordnet oder in relevanten Geschäftsprozessen berücksichtigt.
Erst wenn Risiken, Kontrollen und Prozesse aufeinander abgestimmt sind, lassen sich potenzielle Schäden durch Deepfake-Angriffe wirksam begrenzen.
Deepfake-Risiken abbilden: Drei Schritte für mehr Sicherheit
Schritt 1: Risiken erfassen
Erfassen Sie im ersten Schritt Deepfake-Betrug als eigenständiges operationelles Risiko in Ihrem Risikokatalog. Bewerten Sie anschließend die Eintrittswahrscheinlichkeit sowie die potenzielle Schadenshöhe. Dabei sollten die betroffenen Geschäftsprozesse und Verantwortlichkeiten dokumentiert werden. Zu den besonders gefährdeten Bereichen zählen etwa Finance, Treasury, Einkauf, Personalwesen und der IT-Helpdesk.
Entscheidend ist dabei eine möglichst konkrete Beschreibung des Risikos. Statt Deepfake-Betrug pauschal als KI-Risiko zu klassifizieren, sollten Sie spezifische Angriffsszenarien und deren mögliche Auswirkungen identifizieren. Nur so lässt sich das tatsächliche Schadenspotenzial realistisch bewerten und eine fundierte Grundlage für geeignete Kontrollen schaffen.
Schritt 2: Risiken mit Kontrollen verknüpfen
Im nächsten Schritt sollten Sie die identifizierten Risiken mit geeigneten Kontrollen und Maßnahmen verknüpfen. Diese tragen dazu bei, dass Deepfake-Angriffe nicht unmittelbar zu finanziellen Verlusten oder anderen schwerwiegenden Folgen führen.
Typische Governance-Kontrollen sind:
- Verbindliche Rückrufverfahren bei Zahlungsanweisungen
- Mehrstufige Freigabeworkflows ab definierten Betragsgrenzen
- Das Vier-Augen-Prinzip bei kritischen Entscheidungen
- Identitätsprüfungen bei Stammdatenänderungen
- Dokumentierte Genehmigungsprozesse für sensible Vorgänge
Je konsequenter solche Kontrollen in die betroffenen Prozesse integriert sind, desto geringer ist das Risiko, dass eine erfolgreiche Täuschung zu einem tatsächlichen Schaden führt.
Schritt 3: Maßnahmen überprüfen und nachweisen
Überprüfen Sie regelmäßig, ob die eingeführten Maßnahmen die gewünschten Ergebnisse erzielen, und passen Sie diese bei Bedarf an. Dokumentieren Sie Verantwortlichkeiten und verfolgen Sie die Umsetzung der definierten Kontrollen, um deren Wirksamkeit dauerhaft nachweisen zu können. Dazu gehören auch Schulungs- und Sensibilisierungsmaßnahmen, deren Durchführung und Wirksamkeit systematisch erfasst und bewertet werden sollten.
Mit BIC Enterprise Risk und BIC Internal Control lassen sich Risiken, Maßnahmen und Kontrollen in einer gemeinsamen GRC-Plattform zusammenführen. Dadurch werden Zusammenhänge transparent und Schutzvorkehrungen nachvollziehbar dokumentiert.
Fazit
Deepfake-Betrug ist längst mehr als ein IT-Thema. Ob aus einem Angriff ein Schaden entsteht, hängt maßgeblich von den vorhandenen Prozessen, Kontrollen und Verantwortlichkeiten ab.
Technische Schutzmaßnahmen sind ein wichtiger Baustein der Prävention, bieten für sich genommen jedoch keinen ausreichenden Schutz. Erst die Kombination aus klar definierten Prozessen, wirksamen Kontrollen und regelmäßigen Sensibilisierungsmaßnahmen schafft die Voraussetzungen, um Deepfake-Betrug wirksam zu begegnen und potenzielle Schäden zu begrenzen.
Wer Deepfake-Risiken heute systematisch adressiert, stärkt nicht nur seine Widerstandsfähigkeit gegenüber aktuellen Bedrohungen, sondern schafft auch die Grundlage für einen sicheren Umgang mit den Herausforderungen der Zukunft.
Häufig gestellte Fragen
Wie funktioniert Deepfake-Betrug im Videocall?
Angreifer erstellen mithilfe künstlicher Intelligenz täuschend echte Livestreams, Videos oder Stimmen von Führungskräften und anderen Entscheidungsträgern. Sie geben Anweisungen zu Zahlungen, Stammdatenänderungen oder anderen sensiblen Vorgängen und nutzen dabei das Vertrauen der Mitarbeitenden aus.
Wie können Unternehmen Deepfake-Angriffe verhindern?
Der wirksamste Schutz besteht aus Governance-Kontrollen, klaren Freigabeprozessen, unabhängigen Verifikationen und regelmäßigen Schulungen. Technische Erkennungssysteme können unterstützen, ersetzen diese Maßnahmen aber nicht.
Welche Prozesse sind am stärksten von Deepfake-Scams betroffen?
Besonders gefährdet sind Zahlungsfreigaben im Finanzbereich, Beschaffungsprozesse im Einkauf, Identitätsprüfungen im IT-Helpdesk sowie Prozesse rund um Stammdatenänderungen.
Welche Governance-Kontrollen verhindern Deepfake-Betrug?
Bewährt haben sich Rückrufverfahren, das Vier-Augen-Prinzip, mehrstufige Freigabeworkflows, Identitätsprüfungen und klar dokumentierte Eskalationswege.
Wie gefährlich sind Deepfake-Videocalls für Unternehmen?
Deepfake-Videocalls zählen zu den glaubwürdigsten Formen des KI-Betrugs. Sie kombinieren visuelle und akustische Manipulation mit sozialer Einflussnahme und können hohe finanzielle Schäden verursachen.
Wie kann man Deepfake-Betrug als Risiko abbilden?
Deepfake-Betrug sollte als operationelles Risiko erfasst und mit Eintrittswahrscheinlichkeit, Schadenspotenzial, Verantwortlichkeiten sowie den zugehörigen Kontrollen dokumentiert werden.
Warum ist Deepfake-Betrug kein reines IT-Problem?
Deepfake-Betrug nutzt organisatorische Schwachstellen aus. Fehlende Verifikationsverfahren, unzureichende Kontrollen oder mangelndes Risikobewusstsein erhöhen das Risiko erfolgreicher Angriffe.
Wie schützt das Vier-Augen-Prinzip vor Deepfake-Angriffen?
Das Vier-Augen-Prinzip verhindert, dass kritische Entscheidungen allein auf Basis eines einzelnen Anrufs oder Videocalls getroffen werden. Die zusätzliche unabhängige Prüfung reduziert das Risiko erfolgreicher Manipulation erheblich.
GBTEC Software AG
Gesundheitscampus-Süd 23
44801 Bochum
Deutschland
